国内手机银行安全体检：多款存在高危漏洞，可影响资金安全

手机银行被盗,惊心动魄15分
男子三张卡绑定手机银行被盗 4分钟27万被转走

上面几个标题对大家来说应该不陌生，近几年因手机银行的普及和社交网络的传播，时常有类似的事件刷屏。

这只是我在搜索引擎检索“手机银行+被盗”随便摘取的几条。在Google、百度上搜索它们，显示找到的结果条目分别为323万、352万个，数目惊人。

作为新兴领域的附加品，这些手机银行被盗案例大多都没有没法追回被盗的钱，损失由用户承担。可供用户实践的有效建议非常地概念化，比如“不要泄露个人隐私信息”、“保持安全的手机使用习惯”等等，许多案例最后都陷入了扯皮，难以界定责任。

但除了用户责任外，其实交易中间方的银行也很可能有责任，只是我们平常难以去发现。

最近嘶吼收到一份来自工信部旗下泰尔终端实验室的研究报告，其针对国内多款手机银行APP进行安全测评，发现有数款存在严重安全隐患，结果不容乐观。

根据泰尔终端实验室的安全报告《金融客户端也会存在高危漏洞》显示，他们针对中国银行、中信银行、建设银行等国内多家大型商业银行的Android端手机银行APP进行分析后发现：

此次测评的APP普遍存在高危漏洞，用户在进行转账交易时，黑客能够通过一定的技术手段劫持用户的转账信息，从而导致用户的转账资金被非法窃取。

用人话说，就是当你被攻击者盯上后，你在使用中行、中信、建行等银行的手机银行Android APP进行转账，明明对方的卡号、姓名、开户行填写后反复检查没问题，短信提示也显示正确，但转完账一查交易记录，欸…刚刚的钱怎么转给一个陌生名字了？一脸懵。

当然，要实现这样的高难度骗局，也需要一定的条件，大家不用过于恐慌。为避免被恶意利用，漏洞细节暂未公开，泰尔表示已反馈到相关银行进行修补。

除篡改转账账号漏洞外，报告还提到，部分手机银行APP的关键组件没有界面劫持防护。攻击者可以在手机银行的登录、支付页面弹窗，伪造同样的界面，如果用户继续操作下去，填写的账号密码信息便全部泄漏给攻击者了。

此外，报告中还发现，被检测的手机银行APP自身防御手段较弱，易被破解，安全性较低。即使水平不高的攻击者，也可以轻松破解它们，了解每个敏感操作的位置并去植入恶意代码。注毒的APP被二次打包发到网上，下载的人可就要惨了，看着和官方版一模一样，用了钱和私密信息就都丢了。

从整份报告来看，国内的大多数手机银行APP在安全上仍需提高，官方应多关注用户实际使用环境和黑产动向，能接上地气真正落实用户痛点。报告发布前，泰尔终端实验室已经将相关漏洞信息反馈给相关银行。嘶吼将持续关注事件进展。

说点题外话，在手机支付之前，过去的银行卡支付、网银支付都曾经历过长久的安全演进。最老的磁条卡，在现在看来安全方面可谓是简陋极了，窃取信息、复制、盗刷都非常简单，但如果你现在无论是用磁条卡还是芯片卡，只要卡没丢，用户不用负盗刷责任。手机银行是否可能打造出类似的环境？期待之。

用户安全建议

1、从正规应用市场或官方网站下载APP

2、尽量选择安全口碑较好、用户权益保护良好的银行办理业务

3、谨慎使用手机银行APP执行转账等敏感操作，大额转账后应和对方确认

4、提高信息安全意识，保护个人隐私数据